Управление доступом к узлам и к содержимому узлов

В этой статье:

Назначение элементов безопасности защищаемым объектам

Иерархия и наследование

Когда владелец узла создает структуру разрешений для своего узла или группы узлов, ему следует сочетать простоту администрирования с необходимостью управления разрешениями для отдельных защищаемых объектов. При разрешении доступа к любому веб-узлу также важно следовать принципу предоставления наименьшего объема прав.

Для упрощения администрирования начните с использования стандартных групп SharePoint (то есть, «Владельцы имя_узла», «Участники имя_узла» и «Посетители имя_узла») и назначения разрешений на уровне узла. Рекомендуется сделать большинство пользователей участниками групп SharePoint «Посетители имя_узла» или «Участники имя_узла». Не следует добавлять каждого пользователя в группу SharePoint «Владельцы имя_узла». По умолчанию участники узла могут вносить изменения в узел, добавляя или удаляя элементы или документы, но не могут изменять структуру узла, а также изменять параметры узла или его внешний вид. Если требуется более детальное управление действиями пользователей, можно создать дополнительные группы SharePoint и уровни разрешений.

При наличии списков, библиотек, каталогов списков или библиотек, элементов списков или документов, содержащих секретные данные, требующие дополнительной защиты, можно использовать детальные разрешения для некоторых групп SharePoint или отдельных пользователей. Однако обратите внимание, что для управления детальными разрешениями может потребоваться очень много времени.

Назначение элементов безопасности защищаемым объектам

Владелец узла может предоставить отдельные разрешения пользователям и группам SharePoint (содержащим пользователей) для защищаемого объекта, например узла, списка, библиотеки, каталога списка или библиотеки, элемента списка или документа. Управление учетными записями пользователей напрямую неэффективно, поэтому для управления пользователями старайтесь, насколько возможно, использовать группы SharePoint.

Следующий рисунок иллюстрирует назначение отдельных уровней разрешений пользователям и группам SharePoint для узла или защищаемого объекта на узле SharePoint.

Пользователям и группам назначаются отдельные уровни разрешений для определенной области.

* Отдельному пользователю можно назначить уровень разрешения напрямую, для этого не нужно, чтобы пользователь был участником группы SharePoint.

Обратите внимание, что назначение разрешений создается для определенного защищаемого объекта. Это назначение разрешений включает пользователя или группу SharePoint и уровень разрешений. Каждый уровень разрешений обладает собственным набором разрешений.

Владелец узла может назначать различным пользователям и группам SharePoint различные уровни разрешений для определенного узла, списка, библиотеки, каталога списка или библиотеки, элемента списка или документа. У отдельных пользователей или групп SharePoint могут быть различные уровни разрешений для различных защищаемых объектов.

  • Любой пользователь, обладающий разрешениями «Управление разрешениями», может создавать группы SharePoint и назначать уровни разрешений для узла в целом. Однако обратите внимание, что у них может не быть права добавлять или удалять пользователей или доменные группы в группе SharePoint. У администраторов семейства веб-узлов и владельцев узла такое разрешение есть по умолчанию.

  • Администраторы списков и библиотек могут задавать доступ к своим спискам или библиотекам (или папкам списков или библиотек), добавляя или удаляя пользователей из групп SharePoint, или изменяя уровни разрешений для пользователей или групп SharePoint.

  • Создатели элементов списков или документов могут управлять доступом к элементу или документу, добавляя или удаляя пользователей из групп SharePoint, или изменяя уровни разрешений для пользователей или групп SharePoint.

В начало страницы

Иерархия и наследование

По умолчанию разрешения для списков, библиотек, каталогов списков и библиотек, элементов и документов наследуются от родительского узла. Однако можно отменить наследование для любого защищаемого объекта на нижнем уровне иерархии, изменив разрешения (то есть, назначив собственное разрешение) для этого защищаемого объекта. Например, можно изменить разрешения для библиотеки документов, отменив наследование от узла.

Веб-узел представляет собой защищаемый объект, для которого можно назначить разрешения. Владелец узла может настраивать дочерние узлы, включая наследование разрешений от родительского узла или отключая наследование и создавая собственные разрешения для определенного узла. Наследование разрешений является простейшим способом для управления группой веб-узлов. Тем не менее, если дочерний узел наследует разрешения от своего родительского узла, то этот набор разрешений является общим.

Владельцы дочерних узлов, наследующих разрешения от родительского узла, могут изменять разрешения родительского узла. Убедитесь, что все изменения, производимые с разрешениями на родительском узле, годятся для родительского узла и всех дочерних узлов, наследующих эти разрешения.

На следующем рисунке показана иерархия семейства узлов с веб-узлом верхнего уровня и дочерними узлами, наследующими разрешения от своего родительского узла, а также дочерним узлом с собственными разрешениями.

Иерархия коллекции узлов с дочерними узлами, наследующими разрешения, и дочерним узлом с собственными разрешениями.

На этом рисунке дочерний узел 1 наследует разрешения от веб-узла верхнего уровня. Это означает, что изменения, произведенные с группами SharePoint и уровнями разрешений на веб-узле верхнего уровня, также затронут и дочерний узел 1.

Дочерний узел 2 также наследует разрешения от своего родительского узла (дочернего узла 1). Однако так как дочерний узел 1 также наследует разрешения от своего родительского узла, изменения, производимые с группами SharePoint и уровнями разрешений на узле верхнего уровня, также затронут и дочерний узел 2. Это объясняется тем, что нельзя управлять разрешениями на дочернем узле, наследующем разрешения. Вместо этого, можно либо управлять разрешениями родительского узла (являющегося веб-узлом верхнего уровня для дочернего узла 1 и дочернего узла 2), либо отменить наследование и создать собственные разрешения.

Обратите внимание, что дочерний узел 3 обладает собственными разрешениями. Это значит, что он не наследует разрешения от своего родительского узла. Поэтому любые изменения, произведенные с уровнями разрешений и группами SharePoint на дочернем узле 3, не влияют на его родительский узел. Поскольку дочерний узел 4 наследует разрешения от дочернего узла 3, любые изменения, произведенные с уровнями разрешений или группами SharePoint на дочернем узле 3 затрагивают оба узла.

Каждый узел содержит дополнительные защищаемые объекты, обладающие определенным положением в иерархии узла, как показано на следующем рисунке.

Иерархия области применения

Защищаемые объекты нижнего уровня автоматически наследуют разрешения от своих родительских объектов. Например, список или библиотека наследуют разрешения от узла, а элементы списка и документы наследуют разрешения от списка, библиотеки или папки, в которой они содержатся. Это наследование можно отменить в любом месте иерархии и назначить объекту собственные разрешения. При отмене наследования от родительского объекта защищаемый объект получает копию родительских разрешений. Затем эти разрешения можно отредактировать, при этом любые изменения разрешений защищаемого объекта не будут влиять на родительский объект. 

План наследования разрешений

Проще всего управлять разрешениями только на уровне узла, там, где это возможно. Это означает, что следует создать иерархию своего узла способом, позволяющим назначать разрешения узлам, соответствующим всем защищаемым объектам узла, таким как списки, библиотеки, папки в списках и библиотеках и элементы. Хотя можно назначить собственные разрешения для любого защищаемого объекта в иерархии узла, это более трудоемко, чем использовать наследование разрешений. Управлять разрешениями становится труднее, когда для некоторых списков или библиотек узла используются детальные разрешения, и когда у одних узлов есть дочерние узлы с собственными разрешениями, а у других дочерних узлов разрешения наследуются. Насколько возможно, организуйте узлы, дочерние узлы, списки и библиотеки так, чтобы они могли наследовать большую часть разрешений. Поместите секретные данные на отдельные дочерние узлы, в разные списки, библиотеки и т. д.

Например, значительно проще управлять разрешениями при помощи иерархии, подобной той, что изображена в следующем примере, чем смешивать секретные и несекретные данные на одном и том же узле, в одних и тех же списках и библиотеках.

  • Узел A    Домашняя страница группы

    • Список A    Несекретные данные (наследуемые разрешения)

    • Библиотека документов A    Несекретные данные (наследуемые разрешения)

    • Дочерний узел B    Секретные данные (собственные разрешения)

      • Список B    Секретные данные (собственные разрешения)

      • Библиотека документов B    Секретные данные (собственные разрешения)

Обратите внимание, что список и библиотека на узле A содержит несекретные данные, а созданный под узлом A дочерний узел B содержит список и библиотеку для хранения секретных данных. В этом сценарии владелец узла может назначать разрешения узлу A, подходящие для списка A и библиотеки документов A, а также создавать собственные разрешения на дочернем узле B, требующиеся для списка B и библиотеки документов B.

В начало страницы

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×